基于核电站的网络入侵报警方法和系统的制作方法
【专利摘要】本发明公开了一种基于核电站的网络入侵报警方法,其包括:对访问对象发送的数据信息进行检测,检测包括误用检测和协议异常数据检测;若检测数据信息的结果为异常,生成即时预警信息;将即时预警信息与数据库中的历史预警信息进行匹配;若即时预警信息与历史预警信息的匹配结果不符合预先设置的匹配值,发出入侵报警信息。本发明基于核电站的网络入侵报警方法,可有效地满足了核电站工业网对网络安全防护的要求。此外,本发明还公开了一种基于核电站的网络入侵报警系统。
【专利说明】基于核电站的网络入侵报警方法和系统
【技术领域】
[0001]本发明属于核电站安防领域,更具体地说,本发明涉及一种基于核电站的网络入侵报警方法和系统。
【背景技术】
[0002]入侵检测系统(Intrusion Detection System, IDS)是指对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。随着网络的规模越来越庞大,网络上的资源也越来越丰富,从网络而来的威胁也越来越多、攻击越来越隐秘。核电运行的数据关系到国家安全和社会稳定,因此,构造网络安全体系以保障数据中心的安全势在必行。工业控制系统包括核电站控制系统由于不与因特网网络相连,它是一个独立的网络。正常情况下是不会有病毒存在的,外面的黑客也无法攻击。加之通常的黑客及网络病毒攻击都是针对计算机设备,一般没有针对工业控制系统网络中的控制设备的病毒。
[0003]在核电控制系统中,随着信息技术的发展,由于核电系统集成和使用的便利性,大量使用了工业以太环网和(OLE for Process Control,0PC)通信协议进行核电控制系统的集成。同时,也大量使用了 PC服务器和终端产品,核电操作系统和数据库也大量的使用了通用的系统,虽然核电工业网不与internet网相连,核电站也制定了很多规范。但是,现实中往往有人不遵守规定,例如使用U盘在互联网与核电工业网交互使用,使用未经检测的光盘等行为,很容易导致来自企业管理网或互联网的病毒、木马、黑客的攻击,并由此可能导致对实际物理系统故障。核电运行的数据关系到国家安全和社会稳定,因此,构造网络安全体系以保障数据中心的安全势在必行。
[0004]现有的网络安全体系通常由防火墙、杀毒软件以及入侵检测系统(IntrusionDetection System, IDS)或者入侵防御系统(Intrusion Prevention System, IPS)组成。但是,核电控制系统中没有部署商业入侵检测系统进行网络防御,或者部署的商业入侵检测系统也是误用检测为基础的入侵检测系统。由于核电工业网不与互联网相连,所以在核电工业网中无法及时更新入侵检测的病毒库,对于新病毒或者针对特定工业控制系统设计的病毒利用商业入侵检测系统是无法检测出来的。
[0005]如何针对来自网络的病毒入侵进行检测和预警,是核电安全亟待解决的问题。
【发明内容】
[0006]本发明的目的在于:核电控制系统针对可能来自网络的病毒入侵,提供一种基于核电站的网络入侵报警方法和系统,通过结合使用异常检测技术和误用检测技术,提高核电站控制系统对网络入侵的检测能力和完善入侵报警机制,有效地满足了核电站工业网对网络安全防护的要求。
[0007]为了实现上述发明目的,本发明提供了一种基于核电站的网络入侵报警方法,其包括:
[0008]对访问对象发送的数据信息进行检测,所述检测包括误用检测和协议异常数据检测;
[0009]若检测所述数据信息的结果为异常,生成即时预警信息;
[0010]将所述即时预警信息与数据库中的历史预警信息进行匹配;
[0011]若所述即时预警信息与所述历史预警信息的匹配结果不符合预先设置的匹配值,发出入侵报警信息。
[0012]作为本发明基于核电站的网络入侵报警方法的一种改进,所述方法还包括:
[0013]接收访问对象发送的数据信息。
[0014]作为本发明基于核电站的网络入侵报警方法的一种改进,所述历史预警信息包括预警次数的字段,若所述即时预警信息与所述历史预警信息的匹配结果符合预先设置的匹配值,所述预警次数增加一次。
[0015]作为本发明基于核电站的网络入侵报警方法的一种改进,所述方法还包括:
[0016]对所述即时预警信息与所述历史预警信息进行关联分析,根据预先设置的关联规则判断所述访问对象的访问目的。
[0017]作为本发明基于核电站的网络入侵报警方法的一种改进,所述方法还包括:
[0018]若根据预先设置的关联规则无法判断所述访问对象的访问目的,根据所述即时预警信息建立新关联规则,并即时更新关联规则。
[0019]作为本发明基于核电站的网络入侵报警方法的一种改进,所述方法还包括:
[0020]将所述即时预警信息保存至数据库,并更新所述数据库。
[0021]作为本发明基于核电站的网络入侵报警方法的一种改进,所述方法还包括:
[0022]根据所述入侵报警信息执行阻断访问对象所属IP地址或端口访问。
[0023]为了实现上述发明目的,本发明还提供了一种基于核电站的网络入侵报警系统,其包括:
[0024]检测模块,用于对访问对象发送的数据信息进行检测,所述检测包括误用检测和协议异常数据检测;
[0025]预警模块,用于若所述检测模块检测所述数据信息的结果为异常,生成即时预警信息;
[0026]匹配模块,用于将所述预警模块生成所述即时预警信息与数据库中的历史预警信息进行匹配;
[0027]报警模块,用于若所述即时预警信息与所述历史预警信息的匹配结果不符合预先设置的匹配值,发出入侵报警信息。
[0028]作为本发明基于核电站的网络入侵报警系统的一种改进,所述系统还包括:
[0029]接收模块,用于接收访问对象发送的数据信息。
[0030]作为本发明基于核电站的网络入侵报警系统的一种改进,所述系统还包括:
[0031]数据库,用于保存历史预警信息,所述历史预警信息包括预警次数的字段,若所述即时预警信息与所述历史预警信息的匹配结果符合预先设置的匹配值,所述预警次数增加一次。
[0032]作为本发明基于核电站的网络入侵报警系统的一种改进,所述系统还包括:
[0033]分析模块,用于对所述即时预警信息与所述历史预警信息进行关联分析,根据预先设置的关联规则判断所述访问对象的访问目的。[0034]作为本发明基于核电站的网络入侵报警系统的一种改进,所述系统还包括:
[0035]自适应模块,用于保存预先设置的关联规则,若所述分析模块根据预先设置的关联规则无法判断所述访问对象的访问目的,根据所述即时预警信息建立新关联规则,并即时更新关联规则。
[0036]作为本发明基于核电站的网络入侵报警系统的一种改进,所述系统还包括:
[0037]更新模块,用于将所述即时预警信息保存至数据库,并更新所述数据库。
[0038]作为本发明基于核电站的网络入侵报警系统的一种改进,所述系统还包括:
[0039]执行模块,用于根据所述入侵报警信息执行阻断访问对象所属IP地址或端口访问。
[0040]与现有技术相比,本发明基于核电站的网络入侵报警方法和系统具有以下有益技术效果:通过对访问对象发送的数据信息进行误用检测和协议异常数据检测,在上述检测的基础上进行分析匹配,并根据匹配结果进行报警,实现了核电站控制系统的自适应网络环境的入侵;同时,由于通过结合异常检测技术和误用检测技术,提高了核电站控制系统对网络入侵的检测能力和报警机制,有效地满足了核电站工业网对网络安全防护的要求,取得很好的技术效果。
【专利附图】
【附图说明】
[0041]下面结合附图和【具体实施方式】,对本发明基于核电站的网络入侵报警方法和系统进行详细说明,其中:
[0042]图1提供了本发明基于核电站的网络入侵报警方法的一个实施例的流程图。
[0043]图2提供了本发明基于核电站的网络入侵报警系统的一个实施例的示意图。
[0044]图3提供了本发明基于核电站的网络入侵报警系统的又一个实施例的示意图。
【具体实施方式】
[0045]为了使本发明的发明目的、技术方案及其有益技术效果更加清晰,以下结合附图和【具体实施方式】,对本发明进行进一步详细说明。应当理解的是,本说明书中描述的【具体实施方式】仅仅是为了解释本发明,并非为了限定本发明。
[0046]按其工作原理,网络入侵检测技术可分为误用检测技术和异常检测技术两类,其中,误用检测技术基于数据报文特征匹配为基础,这种检测技术准确率高,但其问题是不能发现新的入侵模式而出现漏报情况。异常检测技术,如协议异常检测(Protocol AnomalyDetection System, PADS),则以网络连接特征、系统调用特征、网络流量特征以及系统时延特征等数据为基础,建立正常网络行为的描述模型,当用户活动与正常行为有重大偏离时即被认为是入侵,该检测技术可以发现新型网络入侵,但是存在误报率高,需要大量训练样本的问题。目前,将误用检测技术和异常检测技术结合应用于核电控制系统领域,还是空白。
[0047]请结合参看图1,图1提供了一种基于核电站的网络入侵报警方法,具体包括:
[0048]步骤101,对访问对象发送的数据信息进行检测,检测包括误用检测和协议异常数据检测。
[0049]核电入侵报警管理系统接收访问对象发送的数据信息。具体的,访问的数据信息经过交换机进入控制系统应用服务器。在计算机服务器中安装的核电入侵报警管理系统(Intrusion Detection Alert Management System, IDAMS)ND_IDAMS 通过交换机得到访问对象的数据信息。
[0050]核电入侵报警管理系统接收访问对象发送的数据信息。可选的,访问对象也可以通过服务器向核电站控制系统发送数据信息。
[0051]核电入侵报警管理系统对访问对象发送的数据信息进行检测,包括:检测包括误用检测和协议异常数据检测。具体的,核电入侵报警管理系统调用误用检测模块对数据信息进行检测;进一步的,对数据信息进行协议异常数据检测PADS,PADS可使用马尔科夫模型检测网络数据中的协议。
[0052]可选的,核电入侵报警管理系统可以通过联网商用入侵检测系统(IPS或IDS)对数据信息进行检测。核电入侵报警管理系统可以连接多个商用入侵检测系统(IPS或IDS)。
[0053]步骤103,若检测数据信息的结果为异常,生成即时预警信息。
[0054]通过检测的正常数据则可以正常访问相关系统,若检测数据信息的结果为异常,核电入侵报警管理系统生成即时预警信息。
[0055]步骤105,将即时预警信息与数据库中的历史预警信息进行匹配。
[0056]具体的,核电入侵报警管理系统将即时预警信息与数据库中存储的历史预警信息进行匹配,分类算法确定在数据库中存在历史预警信息与该即时预警信息相同。
[0057]可选的,可以预先设置即时预警信息与历史预警信息匹配的匹配值。例如,设置匹配值为75%,若即时预警信息与历史预警信息有75%以上(包括75%),即认定即时预警信息与历史预警信息匹配,匹配值可以根据需要不断调整。
[0058]若找到即时预警信息匹配的历史预警信息,则将其归为同一类预警,无论有多少即时预警信息,只要与该历史预警信息匹配,返回预警信息融合的就是该条历史预警信息,这样可以大幅减少相似预警的重复性。
[0059]可选的,历史预警信息包括预警次数的字段,若即时预警信息与历史预警信息的匹配结果符合预先设置的匹配值,预警次数增加一次。例如,历史预警信息至少包括预警内容和预警次数,当即时预警信息与历史预警信息匹配,预警内容不变,预警次数增加一次。
[0060]进一步的,对即时预警信息与历史预警信息进行关联分析,根据预先设置的关联规则判断访问对象的访问目的。
[0061]步骤107,若即时预警信息与历史预警信息的匹配结果不符合预先设置的匹配值,发出入侵报警信息。
[0062]例如,设置匹配值为75%,若即时预警信息与历史预警信息低于75%匹配值,即认定即时预警信息与历史预警信息不匹配。若即时预警信息与历史预警信息的匹配结果不符合预先设置的匹配值,核电入侵报警管理系统发出入侵报警信息。
[0063]若根据预先设置的关联规则无法判断访问对象的访问目的,根据即时预警信息建立新关联规则,并即时更新关联规则。
[0064]接收的即时预警信息在数据库中无法找到类似或相符匹配值的历史预警信息。由管理员确认,并为其建立新的预警融合分类,关联规则。查看已经发生的攻击预警关联表,管理员可以更新已发生的关联规则。
[0065]进一步的,将即时预警信息保存至数据库,并更新所述数据库。建立新的预警融合分类和关联规则,并即时更新数据库。
[0066]进一步的,根据入侵报警信息执行阻断访问对象所属IP地址或端口访问。与防火墙或IPS联动,阻断访问对象所属IP地址或端口访问。
[0067]通过对访问对象发送的数据信息进行误用检测和协议异常数据检测,在上述检测的基础上进行分析匹配,并根据匹配结果进行报警。实现了核电站控制系统的自适应网络环境的入侵;同时,由于通过结合异常检测技术和误用检测技术,提高了核电站控制系统对网络入侵的检测能力和报警机制,有效地满足了核电站工业网对网络安全防护的要求,取得很好的技术效果。
[0068]图2提供了一种基于核电站的网络入侵报警系统的一个实施例的示意图,其包括:检测模块201,预警模块203、匹配模块205以及报警模块207。
[0069]检测模块201,用于对访问对象发送的数据信息进行检测,检测包括误用检测和协议异常数据检测;
[0070]预警模块203,用于若检测模块201检测数据信息的结果为异常,生成即时预警信息;
[0071]匹配模块205,用于将预警模块203生成即时预警信息与数据库中的历史预警信息进行匹配;
[0072]报警模块207,用于若即时预警信息与历史预警信息的匹配结果不符合预先设置的匹配值,发出入侵报警信息。
[0073]系统的实施方法和流程可以参见前述实施例中介绍的方法实施例,此处不再赘述。
[0074]请结合参看图3,图3提供了一种基于核电站的网络入侵报警系统的一个实施例的示意图,其包括:接收模块301、检测模块303、预警模块305、匹配模块307、报警模块、更新模块311、数据库313、分析模块315、自适应模块317以及执行模块319。
[0075]具体的,接收模块301,用于接收访问对象发送的数据信息;
[0076]具体的,访问的数据信息经过交换机进入控制系统应用服务器。在计算机服务器中安装的核电入侵报警管理系统ND-1DAMS中的接收模块301通过交换机得到访问对象的数据信息。
[0077]接收模块301接收访问对象发送的数据信息。可选的,访问对象也可以通过服务器向核电站控制系统发送数据信息,再有接收模块301接收。
[0078]检测模块303,用于对访问对象发送的数据信息进行检测,检测包括误用检测和协议异常数据检测;
[0079]检测模块303对接收模块301接收的访问对象发送的数据信息进行检测,包括:检测模块303检测包括误用检测和协议异常数据检测。具体的,进一步的,检测模块303对数据信息进行协议异常数据检测PADS,PADS可使用马尔科夫模型检测网络数据中的协议。
[0080]可选的,检测模块303可以通过联网商用入侵检测系统(IPS或IDS)对数据信息进行检测,检测模块303可以连接多个商用入侵检测系统(IPS或IDS)。
[0081]预警模块305,用于若检测模块检测数据信息的结果为异常,生成即时预警信息;
[0082]检测模块303检测通过的正常数据则可以正常访问相关系统,若检测数据信息的结果为异常,预警模块305生成即时预警信息。[0083]匹配模块307,用于将预警模块35生成即时预警信息与数据库中的历史预警信息进行匹配;
[0084]具体的,匹配模块307将即时预警信息与数据库中存储的历史预警信息进行匹配,通过分类算法确定在数据库313中存在历史预警信息与该即时预警信息相同。
[0085]可选的,匹配模块307可以预先设置即时预警信息与历史预警信息匹配的匹配值。例如,设置匹配值为75%,若即时预警信息与历史预警信息有75%以上(包括75%),即认定即时预警信息与历史预警信息匹配,匹配值可以根据需要不断调整。
[0086]若找到即时预警信息匹配的历史预警信息,则将其归为同一类预警,无论有多少即时预警信息,只要与该历史预警信息匹配,返回预警信息融合的就是该条历史预警信息,这样可以大幅减少相似预警的重复性。
[0087]数据库313,用于保存历史预警信息,历史预警信息包括预警次数的字段,若即时预警信息与历史预警信息的匹配结果符合预先设置的匹配值,预警次数增加一次。例如,历史预警信息至少包括预警内容和预警次数,当即时预警信息与历史预警信息匹配,预警内容不变,预警次数增加一次。
[0088]若即时预警信息与历史预警信息不匹配,更新模块311用于将即时预警信息保存至数据库313,并更新数据库313。
[0089]分析模块315,用于对即时预警信息与历史预警信息进行关联分析,根据预先设置的关联规则判断访问对象的访问目的。
[0090]自适应模块317,用于保存预先设置的关联规则,若分析模块315根据预先设置的关联规则无法判断访问对象的访问目的,自适应模块317根据即时预警信息建立新关联规贝U,并即时更新关联规则。
[0091]报警模块309,用于若匹配模块307判断即时预警信息与历史预警信息的匹配结果不符合预先设置的匹配值,发出入侵报警信息。
[0092]执行模块319,用于根据入侵报警信息执行阻断访问对象所属IP地址或端口访问。
[0093]结合以上对本发明的详细描述可以看出,相对于现有技术,本发明至少具有以下有益技术效果:通过对访问对象发送的数据信息进行误用检测和协议异常数据检测,在上述检测的基础上进行分析匹配,并根据匹配结果进行报警,实现了核电站控制系统的自适应网络环境的入侵;同时,由于通过结合异常检测技术和误用检测技术,提高核电站控制系统对网络入侵的检测能力和报警机制,有效地满足了核电站工业网对网络安全防护的要求;此外,由于及时发现入侵报警信息后,能通过自适应不断更新数据库和入侵类型,并进行策略处理报警,如阻断IP或端口,使得核电站控制安全得到保障,取得很好的技术效果。
[0094]根据上述原理,本发明还可以对上述实施方式进行适当的变更和修改。因此,本发明并不局限于上面揭示和描述的【具体实施方式】,对本发明的一些修改和变更也应当落入本发明的权利要求的保护范围内。此外,尽管本说明书中使用了一些特定的术语,但这些术语只是为了方便说明,并不对本发明构成任何限制。
【权利要求】
1.一种基于核电站的网络入侵报警方法,其特征在于,所述方法包括: 对访问对象发送的数据信息进行检测,所述检测包括误用检测和协议异常数据检测; 若检测所述数据信息的结果为异常,生成即时预警信息; 将所述即时预警信息与数据库中的历史预警信息进行匹配; 若所述即时预警信息与所述历史预警信息的匹配结果不符合预先设置的匹配值,发出入侵报警信息。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括: 接收访问对象发送的数据信息。
3.根据权利要求2所述的方法,其特征在于,所述历史预警信息包括预警次数的字段,若所述即时预警信息与所述历史预警信息的匹配结果符合预先设置的匹配值,所述预警次数增加一次。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括: 对所述即时预警信息与所述历史预警信息进行关联分析,根据预先设置的关联规则判断所述访问对象的 访问目的。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括: 若根据预先设置的关联规则无法判断所述访问对象的访问目的,根据所述即时预警信息建立新关联规则,并即时更新关联规则。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括: 将所述即时预警信息保存至数据库,并更新所述数据库。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括: 根据所述入侵报警信息执行阻断访问对象所属IP地址或端口访问。
8.一种基于核电站的网络入侵报警系统,其特征在于,所述系统包括: 检测模块,用于对访问对象发送的数据信息进行检测,所述检测包括误用检测和协议异常数据检测; 预警模块,用于若所述检测模块检测所述数据信息的结果为异常,生成即时预警信息; 匹配模块,用于将所述预警模块生成所述即时预警信息与数据库中的历史预警信息进行匹配; 报警模块,用于若所述即时预警信息与所述历史预警信息的匹配结果不符合预先设置的匹配值,发出入侵报警信息。
9.根据权利要求8所述的系统,其特征在于,所述系统还包括: 接收模块,用于接收访问对象发送的数据信息。
10.根据权利要求8所述的系统,其特征在于,所述系统还包括: 数据库,用于保存历史预警信息,所述历史预警信息包括预警次数的字段,若所述即时预警信息与所述历史预警信息的匹配结果符合预先设置的匹配值,所述预警次数增加一次。
11.根据权利要求10所述的系统,其特征在于,所述系统还包括: 分析模块,用于对所述即时预警信息与所述历史预警信息进行关联分析,根据预先设置的关联规则判断所述访问对象的访问目的。
12.根据权利要求11所述的系统,其特征在于,所述系统还包括: 自适应模块,用于保存预先设置的关联规则,若所述分析模块根据预先设置的关联规则无法判断所述访问对象的访问目的,根据所述即时预警信息建立新关联规则,并即时更新关联规则。
13.根据权利要求12所述的系统,其特征在于,所述系统还包括: 更新模块,用于将所述即时预警信息保存至数据库,并更新所述数据库。
14.根据权利要求13所述的系统,其特征在于,所述系统还包括: 执行模块,用于根据所述入 侵报警信息执行阻断访问对象所属IP地址或端口访问。
【文档编号】H04L12/24GK103888282SQ201310361837
【公开日】2014年6月25日 申请日期:2013年8月19日 优先权日:2013年8月19日
【发明者】孙永滨, 刘高俊, 王婷, 孙奇, 张建波, 何大宇, 陈卫华, 黄伟军, 彭华清, 王春冰, 段奇志, 杨华龙 申请人:中广核工程有限公司, 中国广核集团有限公司